Wirus rozprzestrzenia się przez fałszywe aplikacje, podszywające się pod znane programy. Mowa między innymi o narzędziach do edycji zdjęć i tworzenia animowanych tapet, powłokach graficznych itp.
Liczba pobrań wspomnianych fałszywych aplikacji przekroczyła 3,2 mln. Google zostało już poinformowane o incydencie, a część programów zniknęła ze sklepu Play.
Działanie trojana jest proste. Gdy podstawiona aplikacja zostanie uruchomiona, na serwer cyberprzestępców wysyłane są informacje na temat użytkownika i jego urządzenia. Jest to między innymi IMEI, adres e-mail konta Google, wersja systemu operacyjnego, wersja SDK, model urządzenia, rozdzielczość ekranu, numer telefonu, położenie geograficzne, rodzaj CPU, adres MAC karty sieciowej, nazwa operatora GSM, dostępność konta roota itp.
W odpowiedzi wirus otrzymuje zestaw instrukcji do wykonania. Jest wśród nich funkcja wyświetlania reklam, powiadomień z odpowiednimi parametrami, tworzenie skrótów na ekranie domowym, otwieranie określonych stron w Google Chrome itp.
Trojan „zastrasza” również użytkownika, informując go o rzekomym przegrzewaniu baterii. Jako rozwiązanie proponuje pobrać aplikację, która w rzeczywistości jest kolejnym złośliwym oprogramowaniem.
Źródło: Doctor Web